Con provvedimento del 27 novembre 2008 vengono semplificate le misure minime e le notificazioni del trattamento.

Con un provvedimento pubblicato il 9 dicembre sulla Gazzetta Ufficiale, il Garante privacy prosegue l'opera di semplificazione di alcuni adempimenti in materia di protezione dei dati personali. Le nuove garanzie interessano:

a) amministrazioni pubbliche e società private che utilizzano dati personali non sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni sindacali;
b) piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili. 

In base al provvedimento del Garante, le categorie interessate:

possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmentepossono utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di autenticazione basato su un username e una password; lo username deve essere disattivato quando viene meno il diritto di  accesso ai dati (es. non si opera più all'interno dell'organizzazione);in caso di assenze prolungate o di impedimenti del dipendente possono mettere

in atto procedure o modalità che consentano comunque l'operatività e la sicurezza del sistema ( ad es. l'invio automatico delle mail ad un altro recapito accessibile);devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno, e effettuare backup dei dati almeno una volta al mese.Con il provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese, artigiani, liberi professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili, alcune indicazioni per la redazione di un documento programmatico per la sicurezza semplificato.